Dal 1° di settembre 2023 entrerà in vigore la nuova Legge sulla Protezione dei Dati.
Fra urgenze, rischi e obblighi ecco cosa è opportuno sapere
LUGANO - A fine agosto il Consiglio Federale ha comunicato che la nuova Legge sulla Protezione dei Dati (spesso abbreviata in LPD) entrerà in vigore, con testo emendato, il 1° settembre del 2023, in modo che le aziende possano adeguarsi per tempo. Si tratta dell’ultima proroga possibile e, con l’entrata in vigore della nuova normativa, la Confederazione intende far adeguare tutte le organizzazioni svizzere o estere che operano sul territorio elvetico al nuovo scenario della privacy. Anche perché, rispetto alla precedente versione del 1992 le evoluzioni tecnologiche che sono intercorse creano problematiche che non erano previste nelle “vecchie” versioni delle leggi sulla protezione dei dati. Ma per cercare di fare chiarezza
abbiamo intervistato in proposito Pieralberto Nati, Ceo di Advanced CGS Group.
Signor Nati, uno dei temi più caldi in tema privacy riguarda la nuova LPD. Ma quali sono le tempistiche e cosa prevede in termini generali la Legge sulla Protezione dei Dati?
La legge aggiorna allo scenario odierno la vecchia legge del 1992 ed entrerà in vigore il 1° settembre 2023. Suo scopo primario è di adeguare ai nuovi scenari tecnologici e sociali la protezione della personalità e dei diritti fondamentali delle persone fisiche i cui dati sono oggetto di trattamento. Si deve prima di tutto ricordare che i dati personali sono di proprietà della persona e quindi che il loro uso è prima di tutto condizionato all’autorizzazione, tramite consenso, che la persona concede al Titolare. La legge vuole verificare che i dati personali particolarmente sensibili (salute, opinioni, genetici, giudiziari) siano trattati con la massima sicurezza e solo da soggetti autorizzati a farlo. Gli interessati devono poi sempre sapere con chiarezza come i propri dati vengono utilizzati, a quale scopo e anche per quanto tempo verranno utilizzati.
Entrando più nel merito, da un punto di vista degli obblighi del titolare del trattamento, quali sono le indicazioni che è opportuno osservare con una certa urgenza?
La prima cosa che un titolale, ovvero colui che tratta i dati per un determinato scopo, deve fare è analizzare i rischi insiti nei vari trattamenti, che ricordo essere qualsiasi operazione relativa a dati personali. Soprattutto bisogna prestare attenzione ai dati personali degni di particolare protezione ed alle profilazioni a rischio elevato. Questo implica di dover analizzare i processi in cui i dati personali vengono trattati, verificare quali strumenti tecnologici vengono utilizzati, le persone e le aziende esterne coinvolte nel trattamento stesso e istituire i conseguenti correttivi necessari a minimizzare i rischi trovati.
Parliamo anche dei rischi che si corrono per un mancato adeguamento e applicazione, quali sono a suo modo di vedere le criticità maggiori a cui si può andare incontro?
I rischi in cui un’azienda svizzera incorre sono di due tipi: il primo, sancito dalla legge stessa, è quello pecuniario, con multe che possono arrivare a 250,000 CHF comminabili direttamente al responsabile aziendale. Il secondo è reputazionale, dato che gli incidenti relativi alla perdita o all’uso non consentito di dati personali hanno solitamente un grande risalto sulla stampa. Ma più che i rischi credo che la LPD sia una grande opportunità per le aziende di rivedere i propri processi in un’ottica orientata a soddisfare i requisiti che i propri utenti (clienti, personale) ritengono ormai imprescindibili ed a proteggere non solo dati personali ma anche in generale tutti i dati aziendali di valore per il proprio business.
Per chi fosse interessato a saperne di più, Advanced CGS Group è a disposizione per approfondire la materia e individuare il percorso e i tool più adatti per ogni organizzazione, in vista dell’entrata in vigore della nuova LPD fissata per il 1° settembre 2023.